« edellinen seuraava »
Sivuja: [1]   Siirry alas

Kirjoittaja Aihe: Omituinen tiedosto ".#index.php -> 'root@here.277653'"  (Luettu 1358 kertaa)

Mistofelees

  • Käyttäjä
  • Viestejä: 656
    • Profiili
Omituinen tiedosto ".#index.php -> 'root@here.277653'"
« : 24.01.24 - klo:13.35 »
Yhteen nettisivustoni hakemistoon on omin avuin ilmestynyt uusi tiedosto.
Mikä tämä on ?

".#index.php -> 'root@here.277653'

Googlekaan ei ole kovin avulias.
Hakusana "root@here" tuottaa mielenkiintoisia tuloksia

Eikä käsityökalusitakaan ole mitään apua:

root@tupu:/home/www/gesp32_tracker# ls .#index.php
.#index.php

root@tupu:/home/www/gesp32_tracker# less .#index.php
.#index.php: No such file or directory

root@tupu:/home/www/gesp32_tracker# cat .#index.php
cat: .#index.php: No such file or directory
Kirjattu

nm

  • Käyttäjä
  • Viestejä: 16424
    • Profiili
Vs: Omituinen tiedosto ".#index.php -> 'root@here.277653'"
« Vastaus #1 : 24.01.24 - klo:14.07 »
Lainaus käyttäjältä: Mistofelees - 24.01.24 - klo:13.35
Yhteen nettisivustoni hakemistoon on omin avuin ilmestynyt uusi tiedosto.
Mikä tämä on ?

".#index.php -> 'root@here.277653'

Tiedosto .#index.php on symbolinen linkki, jonka kohteena on tiedosto root@here.277653. Less ja cat-yritysten perusteella kohdetiedostoa ei kuitenkaan ole olemassa, ja siksi sisällön listaus epäonnistuu.

Linkin ilmaantuminen saattaa liittyä johonkin sivuston tai PHP:n tietoturva-aukkoon, jota joku skriptattu hyökkäys on yrittänyt hyödyntää. Tiedostojen nimillä ei kuitenkaan suoraan löydy netistä vastaavia tapauksia. Ehkä web-palvelimen (Apachen?) lokeista voisi selvitä jotain, jos katsot ensin minä päivänä ja mihin aikaan linkki on luotu. Aikaleimat voi tarkistaa stat-komennolla:

Koodia: [Valitse]
stat .#index.php
Kirjattu

Mistofelees

  • Käyttäjä
  • Viestejä: 656
    • Profiili
VS: Omituinen tiedosto ".#index.php -> 'root@here.277653'"
« Vastaus #2 : 25.01.24 - klo:14.39 »
Tiedosto otti ja katosi omin aikoineen

LISÄYS: Nyt ymmärrän tuonn allaolevan pötkön:
- Joku on huomannut avoimen portin ja tyrkännyt sinne pahoin aikein tuollaisen cookien-tapaisen
- Porttia kuunteleva ohjelma on kiltisti kopioinut pökäleen tiedostoon, koska tässä vaiheessa dataa käsitellään vasta kevyesti.
Serveri itse on siis suojassa, koska koodinpätkää ei suoriteta. Ilmeisesti kyseessä RDP-pyyntö.

Nyt on riesana /tmp/-hakemiston Wc1.txt -tiedostoon generoituva omituinen pötkö:

^C^@^@/*<E0>^@^@^@^@^@Cookie: mstshash=Administr

^A^@^H^@^C^@^@^@


Harmittavasti joudun pitämään yhtä porttia auki ulkomaailmaan. Tuohon porttiin tulevaa materiaalia luetaan aktiivisesti ja saapuneesta materiaalista kopioidaan osa tuohon /Wc1.txt -tiedostoon. Saapuvat paketit ovat pituudeltaan rajattuja, alle 100 B ja keskimäärin kerran minuutissa.
Kaikki data käsitellään ohjelmassa, eikä siitä pääse tekemään suorittavia ohjelmia.

Pitäisi keksiä, miten portista tulevaa dataa saisi seulottua paremmin, jottei kukaan alkaisi puskea tuohon mitään loputonta virtaa, jolla saisi koneen polvilleen.
« Viimeksi muokattu: 25.01.24 - klo:19.43 kirjoittanut Mistofelees »
Kirjattu
Sivuja: [1]   Siirry ylös
« edellinen seuraava »